Разработчика 
Мониторинг активности в доктор вебе
Автор
Anmawe
, мар 18 2015 23:00
95 ответов в этой теме
#81
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 05 Апрель 2015 - 22:02
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#82
ShadowHat
-
- Posters
- 286 Сообщений:
Member
Отправлено 06 Апрель 2015 - 00:08
- Какой системой резервного копирования ты пользуешься?
- Ну конечно что же доктор вебом!
Сообщение было изменено ShadowHat: 06 Апрель 2015 - 00:09
#83
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 06 Апрель 2015 - 00:11
И ничо так 
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#84
SergSG
-
- Posters
- 14 425 Сообщений:
The Master
Отправлено 06 Апрель 2015 - 00:37
И ничо так
Ты про систему резервного копирования ?
#85
Anmawe
-
- Posters
- 115 Сообщений:
Member
Отправлено 06 Апрель 2015 - 21:28
Невнимательно я смотрел ваш сайт, ваш антивирус делает откат (если это не бредни маркетологов, как у ЛК)
http://products.drweb.com/9/?lng=ru
На знаниях о поведенческих моделях разных групп вредоносных программ базируются алгоритмы детектирования средствами технологии Dr.Web Process Heuristic — поведенческого анализатора Dr.Web
Dr.Web Process Heuristic анализирует поведение запущенных предположительно вредоносных программ, сравнивая его с уже известными Dr.Web моделями поведения
Выявить неизвестный вирусной базе Dr.Web вредоносный объект недостаточно — систему следует вылечить.
комплекс мер, который включает перемещение неизвестного вредоносного объекта, обнаруженного средствами Dr.Web Process Heuristic, в карантин и очистку системы от последствий всех действий, совершенных предположительно вредоносной программой, — восстановление исходного состояния системы.
Если троян будет использовать новый алгоритм, которого нет в Dr.Web Process Heuristic (нет поведенческой модели и алгоритма детектирования ) - то эта технология ничего не обнаружит, и детект не наступит на 6-10 файле ?
#86
SergSG
-
- Posters
- 14 425 Сообщений:
The Master
Отправлено 06 Апрель 2015 - 21:36
Если троян будет использовать новый алгоритм, которого нет в Dr.Web Process Heuristic (нет поведенческой модели и алгоритма детектирования ) - то эта технология ничего не обнаружит, и детект не наступит на 6-10 файле ?
Это касается общего эвристика. У шифровальщиковв поведение схожее.
#87
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 06 Апрель 2015 - 21:45
10-ставим 
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#88
VVS
-
- Moderators
- 19 882 Сообщений:
The Master
Отправлено 06 Апрель 2015 - 22:12
Если троян будет использовать новый алгоритм, которого нет в Dr.Web Process Heuristic (нет поведенческой модели и алгоритма детектирования ) - то эта технология ничего не обнаружит, и детект не наступит на 6-10 файле ?
Точнее так:
Если троян будет использовать алгоритм, для которого в каком-либо антивирусе нет поведенческой модели и алгоритма детектирования, то этот антивирус ничего не обнаружит и детект не наступит.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#89
mike 1
-
- Posters
- 823 Сообщений:
Advanced Member
Отправлено 06 Апрель 2015 - 23:09
VVS, а как же облачные технологии?
Глубина - глубина, я не твой отпусти меня, глубина
#90
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 06 Апрель 2015 - 23:37
VVS, а как же облачные технологии?
А что малвари делать в облаке?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#91
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 588 Сообщений:
Смотрящий
Отправлено 06 Апрель 2015 - 23:48
VVS, а как же облачные технологии?
Расценивайте это как часть алгоритма. Так что вывод не меняется.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#92
Anmawe
-
- Posters
- 115 Сообщений:
Member
Отправлено 07 Апрель 2015 - 17:07
А можно научить превентивку блокировать удаление теневых копий?
В превентивную защиту можно добавить контроль за доступом к System Volume Information ?
- В режиме работы Минимальный, установленном по умолчанию - "разрешать"
- В режиме "средний" - "блокировать"
Можно добавить " для того, чтобы было, кому надо, тот будет использовать", но с настройками по умолчанию блокировать не надо. Любой может сам поставить "спрашивать" или "блокировать".
У вас ведь превентивная защита может контролировать, например, загрузку драйвера. Это я к тому, что "кому надо, тот будет контролировать загрузку драйвера". С "System Volume Information" тоже самое.
#93
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 07 Апрель 2015 - 17:15
например, загрузку драйвера
так есть такое
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#94
Anmawe
-
- Posters
- 115 Сообщений:
Member
Отправлено 07 Апрель 2015 - 17:47
так есть такое
Я так и написал "может контролировать, например, загрузку драйвера" . Я писал, что не может контролировать, например, загрузку драйвера 
? Или спросил "может контролировать, например, загрузку драйвера ? "
Загрузка драйвера для примера была. Я про другое - "кому надо, тот будет контролировать доступ к "System Volume Information" .
#95
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 588 Сообщений:
Смотрящий
Отправлено 07 Апрель 2015 - 18:30
это запрос из серии, а можно добавить под контроль Windows, Program Files, зачем это все нужно? какую проблему безопасности оно решает? головняк оно гарантированно добавляет.А можно научить превентивку блокировать удаление теневых копий?
В превентивную защиту можно добавить контроль за доступом к System Volume Information ?
- В режиме работы Минимальный, установленном по умолчанию - "разрешать"
- В режиме "средний" - "блокировать"
Можно добавить " для того, чтобы было, кому надо, тот будет использовать", но с настройками по умолчанию блокировать не надо. Любой может сам поставить "спрашивать" или "блокировать".
У вас ведь превентивная защита может контролировать, например, загрузку драйвера. Это я к тому, что "кому надо, тот будет контролировать загрузку драйвера". С "System Volume Information" тоже самое.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#96
SergSG
-
- Posters
- 14 425 Сообщений:
The Master
Отправлено 07 Апрель 2015 - 18:44
Как по мне, контролировать имеет смысл:
- каналы IO через которые и проникает на ПК всякая всячина. -> Это уже есть.
- пользовательские данные, от неизвестных агрономов. -> Это пока не очень.
Если это не помогло, в остальном смысла немного.
